Anonymous VPN: kahulugan, mga panganib at ang presyo ng kalayaan. Pag-set up ng anonymous na access sa Internet sa pamamagitan ng Tor at VPN

Ang unang bagay na nasa isip kapag binabanggit ang isang VPN ay ang hindi nagpapakilala at seguridad ng ipinadalang data. Totoo ba talaga ito? Alamin natin ito.

Kapag kailangan mong i-access ang corporate network, ligtas itong ipadala mahalagang impormasyon Sa pamamagitan ng bukas na mga channel komunikasyon, upang itago ang kanilang trapiko mula sa maingat na mata ng provider, upang itago ang kanilang tunay na lokasyon kapag nagsasagawa ng anumang hindi ganap na legal (o hindi naman legal) na mga aksyon, kadalasang gumagamit sila ng VPN. Ngunit sulit ba ang bulag na umasa sa isang VPN, ilagay ang seguridad ng iyong data at ang iyong sariling kaligtasan sa taya? Siguradong hindi. Bakit? Alamin natin ito.

BABALA

Ang lahat ng impormasyon ay ibinigay para sa mga layuning pang-impormasyon lamang. Ang mga editor o ang may-akda ay walang pananagutan para sa anuman posibleng pinsala sanhi ng mga materyales ng artikulong ito.

Kailangan namin ng VPN!

Ang isang virtual na pribadong network, o simpleng VPN, ay isang generic na pangalan para sa mga teknolohiyang nagbibigay-daan sa isa o higit pa mga koneksyon sa network(lohikal na network) sa ibabaw ng isa pang network, gaya ng Internet. Sa kabila ng katotohanan na ang mga komunikasyon ay maaaring ipatupad sa pamamagitan ng mga pampublikong network na may hindi kilalang antas ng tiwala, ang antas ng tiwala sa binuo lohikal na network ay hindi nakadepende sa antas ng tiwala sa mga pangunahing network salamat sa paggamit ng mga tool sa cryptography (encryption, authentication, infrastructure mga pampublikong susi, ay nangangahulugang protektahan laban sa mga pag-uulit at pagbabago sa mga mensaheng ipinadala sa isang lohikal na network). Tulad ng nakikita mo, sa teorya ang lahat ay kulay-rosas at walang ulap, ngunit sa pagsasagawa ang lahat ay medyo naiiba. Sa artikulong ito, titingnan natin ang dalawang pangunahing punto na dapat mong isaalang-alang kapag gumagamit ng VPN.

Pag-leak ng trapiko ng VPN

Ang unang problema sa mga VPN ay ang pagtagas ng trapiko. Iyon ay, ang trapiko na dapat ipadala sa pamamagitan ng koneksyon ng VPN sa naka-encrypt na form ay pumapasok sa network bukas na anyo. Ang scenario na ito ay hindi resulta ng isang bug sa VPN server o kliyente. Ang lahat ay mas kawili-wili dito. Ang pinakasimpleng opsyon ay ang biglang idiskonekta ang koneksyon sa VPN. Nagpasya kang mag-scan ng host o subnet gamit ang Nmap, inilunsad ang scanner, lumayo sa monitor nang ilang minuto, at pagkatapos ay biglang huminto ang koneksyon sa VPN. Ngunit ang scanner ay patuloy na gumagana. At ang pag-scan ay nagmumula sa iyong address. Ito ay isang hindi kasiya-siyang sitwasyon. Ngunit may mga mas kawili-wiling mga senaryo. Halimbawa, laganap ang pagtagas ng trapiko ng VPN sa mga network (sa mga host) na sumusuporta sa parehong bersyon ng IP protocol (tinatawag na mga dual-stacked na network/host).

Ugat ng Kasamaan

Ang magkakasamang buhay ng dalawang protocol - IPv4 at IPv6 - ay may maraming kawili-wili at banayad na aspeto na maaaring humantong sa mga hindi inaasahang kahihinatnan. Sa kabila ng katotohanan na ang ikaanim na bersyon ng IP protocol ay wala pabalik na pagkakatugma kasama ang ikaapat na bersyon, ang parehong mga bersyong ito ay "pinagdikit" ng Domain Name System (DNS). Para mas malinaw kung ano ang ibig nating sabihin pinag-uusapan natin, tingnan natin ang isang simpleng halimbawa. Halimbawa, kunin natin ang isang website (sabihin nating www.example.com) na mayroong parehong suporta sa IPv4 at IPv6. Ang katumbas na domain name (www.example.com sa aming kaso) ay maglalaman ng parehong uri ng mga DNS record: A at AAAA. Ang bawat A record ay naglalaman ng isang IPv4 address, at ang bawat AAAA record ay naglalaman ng isang IPv6 address. Bukod dito, ang isang domain name ay maaaring magkaroon ng ilang mga talaan ng parehong uri. Kaya, kapag ang isang application na sumusuporta sa parehong mga protocol ay gustong makipag-ugnayan sa site, maaari itong humiling ng alinman sa mga available na address. Ang gustong pamilya ng address (IPv4 o IPv6) at ang huling address na gagamitin ng application (ibinigay na may ilan para sa bersyon 4 at 6) ay mag-iiba mula sa isang pagpapatupad ng protocol sa isa pa.

Ang magkakasamang buhay na ito ng mga protocol ay nangangahulugan na kapag ang isang kliyente na sumusuporta sa parehong mga stack ay gustong makipag-ugnayan sa isa pang system, ang presensya ng mga A at AAAA na tala ay makakaimpluwensya kung aling protocol ang gagamitin upang makipag-ugnayan sa system na iyon.

VPN at dalawahang protocol stack

Maraming mga pagpapatupad ng VPN ang hindi sumusuporta, o mas masahol pa, ganap na binabalewala ang IPv6. Kapag nagtatatag ng isang koneksyon software Pinangangalagaan ng VPN ang pagdadala ng trapiko ng IPv4 sa pamamagitan ng pagdaragdag ng isang default na ruta para sa mga IPv4 packet, sa gayon ay tinitiyak na ang lahat ng trapiko ng IPv4 ay ipinadala sa pamamagitan ng koneksyon ng VPN (sa halip na ito ay ipinadala sa malinaw sa pamamagitan ng lokal na router). Gayunpaman, kung hindi sinusuportahan ang IPv6 (o ganap na hindi pinansin), ang bawat packet na may patutunguhang IPv6 address sa header nito ay ipapadala nang malinaw sa pamamagitan ng lokal na IPv6 router.

Ang pangunahing dahilan ng problema ay nakasalalay sa katotohanan na bagaman ang IPv4 at IPv6 ay dalawang magkaibang mga protocol na hindi tugma sa isa't isa, ang mga ito ay malapit na ginagamit sa sistema ng domain name. Kaya, para sa isang system na sumusuporta sa parehong protocol stack, imposibleng ma-secure ang isang koneksyon sa isa pang system nang hindi sini-secure ang parehong protocol (IPv6 at IPv4).

Lehitimong VPN traffic leak scenario

Isaalang-alang ang isang host na sumusuporta sa parehong protocol stack, gumagamit ng VPN client (gumagana lang sa IPv4 traffic) para kumonekta sa VPN server, at nakakonekta sa isang dual-stacked na network. Kung ang isang application sa host ay kailangang makipag-ugnayan sa isang dual-stacked na node, ang kliyente ay karaniwang nagtatanong ng parehong A at AAAA DNS record. Dahil sinusuportahan ng host ang parehong protocol, at ang remote node ay magkakaroon ng parehong uri ng mga DNS record (A at AAAA), ang isa sa mga malamang na sitwasyon ay ang paggamit ng IPv6 protocol para sa komunikasyon sa pagitan nila. At dahil hindi sinusuportahan ng kliyente ng VPN ang ikaanim na bersyon ng protocol, hindi ipapadala ang trapiko ng IPv6 sa pamamagitan ng koneksyon ng VPN, ngunit ipapadala sa malinaw na teksto sa pamamagitan ng lokal na network.

Ang sitwasyong ito ay naglalagay ng mahalagang data na ipinapadala sa malinaw na teksto sa panganib kapag sa tingin namin ay ligtas itong ipinapadala sa koneksyon ng VPN. Sa partikular na kaso na ito, ang pagtagas ng trapiko ng VPN ay side effect gamit ang software na hindi sumusuporta sa IPv6 sa isang network (at host) na sumusuporta sa parehong protocol.

Sadyang nagiging sanhi ng pagtagas ng trapiko ng VPN

Maaaring sadyang pilitin ng isang attacker ang isang koneksyon sa IPv6 sa computer ng biktima sa pamamagitan ng pagpapadala ng mga pekeng ICMPv6 Router Advertisement na mensahe. Ang mga naturang packet ay maaaring ipadala gamit ang mga utility gaya ng rtadvd, SI6 Networks' IPv6 Toolkit o THC-IPv6. Kapag naitatag na ang koneksyon sa IPv6, maaaring magresulta ang “komunikasyon” sa isang system na sumusuporta sa parehong protocol stack, gaya ng tinalakay sa itaas, sa pagtagas ng trapiko ng VPN.

Bagama't maaaring maging mabunga ang pag-atake na ito (dahil sa dumaraming bilang ng mga site na sumusuporta sa IPv6), maglalabas lamang ito ng trapiko kapag sinusuportahan ng tatanggap ang parehong bersyon ng IP protocol. Gayunpaman, hindi mahirap para sa isang umaatake na magdulot ng mga pagtagas ng trapiko para sa sinumang tatanggap (dual-stacked o hindi). Sa pamamagitan ng pagpapadala ng mga pekeng mensahe ng Advertisement sa Router na naglalaman ng naaangkop na opsyon sa RDNSS, maaaring magpanggap ang isang attacker bilang isang lokal na recursive DNS server, pagkatapos ay magsagawa ng DNS spoofing sa man-in-the-middle attack at harangin ang kaukulang trapiko. Tulad ng sa nakaraang kaso, ang mga tool tulad ng SI6-Toolkit at THC-IPv6 ay madaling makuha ang trick na ito.

Hindi mahalaga kung ang trapiko na hindi inilaan para sa mga mata ay mapupunta sa network sa malinaw na teksto. Paano protektahan ang iyong sarili sa mga ganitong sitwasyon? Narito ang ilang kapaki-pakinabang na mga recipe:

  1. Kung ang VPN client ay na-configure na ipadala ang lahat ng trapiko ng IPv4 sa koneksyon ng VPN, kung gayon:
  • kung ang IPv6 ay hindi suportado ng VPN client - huwag paganahin ang suporta para sa ikaanim na bersyon ng IP protocol para sa lahat mga interface ng network. Kaya, ang mga application na tumatakbo sa computer ay walang pagpipilian kundi gamitin ang IPv4;
  • kung sinusuportahan ang IPv6, tiyaking ipinapadala rin ang lahat ng trapiko ng IPv6 sa pamamagitan ng VPN.
  1. Upang maiwasan ang pagtagas ng trapiko kung biglang bumaba ang koneksyon ng VPN at lahat ng packet ay ipinadala sa pamamagitan ng default na gateway, maaari mong:
  2. pilitin ang lahat ng trapiko na dumaan sa ruta ng VPN tanggalin ang 0.0.0.0 192.168.1.1 // tanggalin ang default na ruta ng gateway magdagdag ng 83.170.76.128 mask 255.255.255.255 192.168.1.1 sukatan 1
  • gamitin ang VPNetMon utility, na sinusubaybayan ang estado ng koneksyon ng VPN at, sa sandaling mawala ito, agad na tinatapos ang mga application na tinukoy ng user (halimbawa, mga torrent client, web browser, scanner);
  • o ang VPNCheck utility, na, depende sa pagpili ng user, ay maaaring ganap na hindi paganahin network card, o wakasan lamang ang mga tinukoy na aplikasyon.
  1. Maaari mong suriin kung mahina ang iyong makina sa mga pagtagas ng trapiko ng DNS sa website, at pagkatapos ay ilapat ang mga tip sa kung paano ayusin ang inilarawan na pagtagas.

Pag-decrypt ng trapiko ng VPN

Kahit na na-configure mo nang tama ang lahat at ang iyong trapiko sa VPN ay hindi tumagas sa network nang malinaw, hindi pa ito isang dahilan upang makapagpahinga. Ang punto ay kung may humarang sa naka-encrypt na data na ipinadala sa pamamagitan ng koneksyon sa VPN, magagawa niyang i-decrypt ito. Bukod dito, hindi ito nakakaapekto sa anumang paraan kung ang iyong password ay kumplikado o simple. Kung gumagamit ka ng koneksyon sa VPN batay sa PPTP protocol, maaari mong sabihin nang may isang daang porsyentong katiyakan na ang lahat ng naharang na naka-encrypt na trapiko ay maaaring ma-decrypt.

Achilles sakong

Para sa mga koneksyon sa VPN batay sa PPTP (Point-to-Point Tunneling Protocol), ang pagpapatunay ng user ay isinasagawa gamit ang MS-CHAPv2 protocol na binuo ng ng Microsoft. Sa kabila ng katotohanan na ang MS-CHAPv2 ay luma na at napakadalas na paksa ng pagpuna, patuloy itong aktibong ginagamit. Upang sa wakas ay maipadala ito sa dustbin ng kasaysayan, ang sikat na mananaliksik na si Moxie Marlinspike ay nagsagawa ng bagay na ito, at sa ikadalawampung kumperensya ng DEF CON iniulat niya na ang layunin ay nakamit - ang protocol ay na-hack. Dapat sabihin na ang seguridad ng protocol na ito ay naging palaisipan dati, ngunit ang ganoong mahabang paggamit ng MS-CHAPv2 ay maaaring dahil sa katotohanan na maraming mga mananaliksik ang nakatuon lamang sa kahinaan nito sa mga pag-atake sa diksyunaryo. Limitadong pananaliksik at malawak na bilang ng mga sinusuportahang kliyente, built-in na suporta ng mga operating system - lahat ng ito ay nagsisiguro ng malawakang paggamit ng MS-CHAPv2 protocol. Para sa amin, ang problema ay nakasalalay sa katotohanan na ang MS-CHAPv2 ay ginagamit sa PPTP protocol, na ginagamit ng maraming mga serbisyo ng VPN (halimbawa, ang mga malalaking serbisyo tulad ng hindi kilalang serbisyo ng VPN na IPredator at The Pirate Bay's VPN).

Kung babalik tayo sa kasaysayan, pagkatapos ay noong 1999, sa kanyang pag-aaral ng PPTP protocol, ipinahiwatig ni Bruce Schneier na "pinahusay ng Microsoft ang PPTP sa pamamagitan ng pagwawasto ng mga pangunahing bahid ng seguridad. Gayunpaman, ang pangunahing kahinaan ng authentication at encryption protocol ay ito ay kasing secure ng password na pipiliin ng user. Sa ilang kadahilanan, pinaniwalaan nito ang mga provider na walang mali sa PPTP at kung kailangan mong mag-imbento ang user kumplikadong mga password, pagkatapos ay magiging ligtas ang ipinadalang data. Ang serbisyo ng Riseup.net ay naging inspirasyon ng ideyang ito na nagpasya itong independiyenteng bumuo ng 21-character na mga password para sa mga user, nang hindi binibigyan sila ng pagkakataong magtakda ng kanilang sarili. Ngunit kahit na ang gayong mahigpit na panukala ay hindi pumipigil sa pag-decrypt ng trapiko. Upang maunawaan kung bakit, tingnan natin ang protocol ng MS-CHAPv2 at tingnan kung paano nagawang i-crack ito ni Moxie Marlinspike.

MS-CHAPv2 protocol

Gaya ng nabanggit na, ginagamit ang MSCHAPv2 para sa pagpapatunay ng user. Nangyayari ito sa maraming yugto:

  • ang kliyente ay nagpapadala ng isang kahilingan sa pagpapatunay sa server, na ipinapadala sa publiko ang pag-login nito;
  • nagbabalik ang server ng 16-byte na random na tugon sa kliyente (Authenticator Challenge);
  • ang kliyente ay bumubuo ng 16-byte na PAC (Peer Authenticator Challenge - tugon ng peer authentication);
  • pinagsasama ng kliyente ang PAC, ang tugon ng server at ang user name nito sa isang linya;
  • ang isang 8-byte na hash ay kinuha mula sa natanggap na string gamit ang SHA-1 algorithm at ipinadala sa server;
  • kinukuha ng server ang hash mula sa database nito ng kliyenteng ito at binibigyang kahulugan ang kanyang sagot;
  • kung ang resulta ng decryption ay tumutugma sa orihinal na tugon, ang lahat ay OK, at kabaliktaran;
  • kasunod nito, kinukuha ng server ang PAC ng kliyente at, batay sa hash, ay bumubuo ng 20-byte AR (Authenticator Response), na ipinapasa ito sa kliyente;
  • ang kliyente ay nagsasagawa ng parehong operasyon at inihahambing ang natanggap na AR sa tugon ng server;
  • kung ang lahat ay tumutugma, ang kliyente ay pinatotohanan ng server. Ang figure ay nagpapakita ng isang visual na diagram ng pagpapatakbo ng protocol.

Sa unang tingin, ang protocol ay tila sobrang kumplikado - isang grupo ng mga hash, pag-encrypt, mga random na hamon. Sa totoo lang hindi naman ganoon kakomplikado. Kung titingnan mo nang mabuti, mapapansin mo na sa buong protocol ay isang bagay lamang ang nananatiling hindi alam - ang MD4 hash ng password ng user, batay sa kung saan ang tatlong DES key ay binuo. Ang natitirang mga parameter ay maaaring ipinadala sa malinaw na teksto, o maaaring makuha mula sa kung ano ang ipinadala sa malinaw na teksto.


Dahil halos lahat ng mga parameter ay kilala, hindi namin maaaring isaalang-alang ang mga ito, ngunit bigyang-pansin kung ano ang hindi alam at alamin kung ano ang ibinibigay nito sa amin.


Kaya, kung ano ang mayroon kami: isang hindi kilalang password, isang hindi kilalang MD4 hash ng password na ito, isang kilala plaintext at ang sikat na ciphertext. Na may higit pa detalyadong pagsasaalang-alang Makikita mo na hindi mahalaga sa amin ang password ng user, ngunit mahalaga ang hash nito, dahil ang hash na ito ang sinusuri sa server. Kaya, para sa matagumpay na pagpapatotoo sa ngalan ng user, pati na rin para sa pag-decryption ng kanyang trapiko, kailangan lang nating malaman ang hash ng kanyang password.

Ang pagkakaroon ng naharang na trapiko sa kamay, maaari mong subukang i-decrypt ito. Mayroong ilang mga tool (halimbawa, asleap) na nagbibigay-daan sa iyong hulaan ang password ng isang user sa pamamagitan ng pag-atake sa diksyunaryo. Ang kawalan ng mga tool na ito ay hindi sila nagbibigay ng 100% na garantiya ng mga resulta, at ang tagumpay ay direktang nakasalalay sa napiling diksyunaryo. Ang pagpili ng password gamit ang simpleng brute force ay hindi rin masyadong epektibo - halimbawa, sa kaso ng riseup.net PPTP VPN na serbisyo, na puwersahang nagtatakda ng mga password na 21 character ang haba, kailangan mong subukan ang 96 na mga pagpipilian sa character para sa bawat isa sa 21 character . Nagreresulta ito sa 96^21 na opsyon, na bahagyang higit sa 2^138. Sa madaling salita, kailangan mong pumili ng 138-bit na key. Sa isang sitwasyon kung saan hindi alam ang haba ng password, makatuwirang pumili ng MD4 hash ng password. Isinasaalang-alang na ang haba nito ay 128 bits, nakakakuha kami ng 2^128 na mga pagpipilian - bawat sa ngayon imposibleng kalkulahin.

Hatiin at lupigin

Ang MD4 hash ng password ay ginagamit bilang input para sa tatlong DES operations. Ang mga DES key ay 7 byte ang haba, kaya ang bawat operasyon ng DES ay gumagamit ng 7-byte na tipak ng MD4 hash. Ang lahat ng ito ay nag-iiwan ng puwang para sa klasikong divide and conquer attack. Sa halip na ganap na pilitin ang MD4 hash (na, gaya ng naaalala mo, ay 2^128 na mga opsyon), maaari naming piliin ito sa mga bahagi ng 7 byte. Dahil tatlong mga pagpapatakbo ng DES ang ginagamit at ang bawat pagpapatakbo ng DES ay ganap na independiyente sa iba, nagbibigay ito ng kabuuang katugmang pagiging kumplikado ng 2^56 + 2^56 + 2^56, o 2^57.59. Ito ay higit na mas mahusay kaysa sa 2^138 at 2^128, ngunit sobra pa rin malaking bilang mga pagpipilian. Bagaman, tulad ng napansin mo, isang error ang pumasok sa mga kalkulasyong ito. Gumagamit ang algorithm ng tatlong DES key, bawat 7 bytes ang laki, ibig sabihin, 21 bytes sa kabuuan. Ang mga key na ito ay kinuha mula sa MD4 hash ng password, na 16 bytes lang ang haba.

Ibig sabihin, kulang ang 5 byte para buuin ang ikatlong DES key. Nalutas ng Microsoft ang problemang ito sa pamamagitan lamang ng katangahang pagpuno sa mga nawawalang byte ng mga zero at mahalagang bawasan ang bisa ng ikatlong key sa dalawang byte.

Dahil ang pangatlong key ay may epektibong haba na dalawang byte lamang, iyon ay, 2^16 na mga opsyon, ang pagpili nito ay tumatagal ng ilang segundo, na nagpapatunay sa pagiging epektibo ng divide and conquer attack. Kaya, maaari nating ipagpalagay na ang huling dalawang byte ng hash ay kilala, ang natitira lamang ay piliin ang natitirang 14. Gayundin, paghahati sa mga ito sa dalawang bahagi ng 7 byte, mayroon kaming kabuuang bilang ng mga opsyon para sa paghahanap na katumbas ng 2^ 56 + 2^56 = 2^57. Sobra pa rin, pero mas maganda. Tandaan na ang natitirang mga pagpapatakbo ng DES ay nag-e-encrypt ng parehong teksto, gamit lamang ang iba't ibang mga key. Ang algorithm ng paghahanap ay maaaring isulat tulad ng sumusunod:

Ngunit dahil pareho ang naka-encrypt na teksto, mas tama na gawin ito tulad nito:

Ibig sabihin, mayroong 2^56 na variant ng mga key na hahanapin. Nangangahulugan ito na ang seguridad ng MS-CHAPv2 ay maaaring mabawasan sa lakas ng DES encryption lamang.

Pag-hack ng DES

Ngayong alam na ang hanay ng pagpili ng susi, nasa kapangyarihan ng pag-compute para matagumpay na makumpleto ang pag-atake. Noong 1998, ang Electronic Frontier Foundation ay nagtayo ng isang makina na tinatawag na Deep Crack, na nagkakahalaga ng $250,000 at maaaring pumutok ng DES key sa average na apat at kalahating araw. Sa kasalukuyan, ang Pico Computing, na dalubhasa sa pagbuo ng FPGA hardware para sa mga cryptographic na application, ay bumuo ng isang FPGA device (DES cracking box) na nagpapatupad ng DES bilang pipeline na may isang DES operation bawat clock cycle. Sa 40 core sa 450 MHz, maaari itong magbilang ng 18 bilyong key kada segundo. Sa napakabilis na bilis, ang DES cracking box ay nagbi-crack ng DES key sa pinakamasamang kaso sa loob ng 23 oras, at sa average sa kalahating araw. Ang miracle machine na ito ay makukuha sa pamamagitan ng commercial web service loudcracker.com. Kaya ngayon ay maaari mong i-hack ang anumang MS-CHAPv2 handshake nang wala pang isang araw. At sa pagkakaroon ng hash ng password sa kamay, maaari mong patotohanan sa ngalan ng user na ito sa isang serbisyo ng VPN o simpleng i-decrypt ang kanyang trapiko.

Upang i-automate ang trabaho sa serbisyo at iproseso ang naharang na trapiko, ginawa ni Moxie na available sa publiko ang chapcrack utility. Pina-parse nito ang na-intercept na trapiko sa network, naghahanap ng MS-CHAPv2 handshake. Para sa bawat handshake na mahahanap nito, ipi-print nito ang username, ang kilalang plaintext, dalawang kilalang ciphertext, at ibi-crack ang ikatlong DES key. Bilang karagdagan, ito ay bumubuo ng isang token para sa CloudCracker, na nag-encode ng tatlong parameter na kinakailangan para sa serbisyo upang i-crack ang natitirang mga key.

CloudCracker at Chapcrack

Kung sakaling kailanganin mong i-crack ang mga DES key mula sa naharang na trapiko ng user, magbibigay ako ng maikling hakbang-hakbang na pagtuturo.

  1. I-download ang Passlib library, na nagpapatupad ng higit sa 30 iba't ibang mga algorithm hashing para sa Wikang sawa, i-unpack at i-install: python setup.py install
  2. I-install ang python-m2crypto - isang OpenSSL wrapper para sa Python: sudo apt-get install python-m2crypto
  3. I-download ang chapcrack utility mismo, i-unpack at i-install: python setup.py install
  4. Naka-install ang Chapcrack, maaari mong simulan ang pag-parse ng naharang na trapiko. Ang utility ay kumukuha ng cap file bilang input, hinahanap ito para sa MS-CHAPv2 handshake, kung saan kinukuha nito ang impormasyong kinakailangan para sa pag-hack.
  5. chapcrack parse -i tests/pptp
  6. Mula sa output ng data ng chapcrack utility, kopyahin ang halaga ng linya ng Pagsusumite ng CloudCracker at i-save ito sa isang file (halimbawa, output.txt) Pumunta sa cloudcracker.com, piliin ang "Start Cracking" sa panel Uri ng File

, katumbas ng “MS-CHAPv2 (PPTP/WPA-E)”, piliin ang output.txt file na dati nang inihanda sa nakaraang hakbang, i-click ang Susunod -> Susunod at isaad ang iyong e-mail kung saan ipapadala ang mensahe sa sandaling ang pag-hack ay kumpleto na.

Sa kasamaang palad, ang CloudCracker ay isang bayad na serbisyo. Sa kabutihang palad, hindi mo na kailangang magbayad ng ganoon kalaki para i-hack ang mga susi - 20 bucks lang.

Ano ang gagawin? Bagama't isinulat ng Microsoft sa website nito na kasalukuyan itong walang impormasyon tungkol sa mga aktibong pag-atake gamit ang chapcrack, pati na rin ang mga kahihinatnan ng naturang mga pag-atake para sa mga sistema ng gumagamit


, ngunit hindi ito nangangahulugan na ang lahat ay nasa ayos. Inirerekomenda ni Moxie na ang lahat ng mga user at provider ng PPTP VPN solution ay magsimulang mag-migrate sa isa pang VPN protocol. At ang trapiko ng PPTP ay itinuturing na hindi naka-encrypt. Tulad ng nakikita mo, may isa pang sitwasyon kung saan maaaring seryosohin tayo ng VPN.

Konklusyon

Sasabihin ko rin ang tungkol sa pamamahagi ng Whonix OS, na nagpapatupad ng mga pinaka-advanced na mga nagawa sa larangan ng network anonymity, dahil, bukod sa iba pang mga bagay, ang parehong nasuri na mga scheme ay na-configure at nagtatrabaho dito.

Una, tukuyin natin ang ilang mga postulate:
1. Nagbibigay ang Tor network mataas na antas anonymity ng kliyente, napapailalim sa lahat ng ipinag-uutos na panuntunan para sa paggamit nito. Ito ay isang katotohanan: tunay na pag-atake sa publiko sa mismong network, hindi pa ito nangyayari.
2. Tinitiyak ng isang pinagkakatiwalaang VPN (SSH) server ang pagiging kumpidensyal ng ipinadalang data sa pagitan ng sarili nito at ng kliyente.
Kaya, para sa kaginhawahan, sa artikulong ito ang ibig naming sabihin ay tinitiyak ng Tor ang hindi nagpapakilalang kliyente, at VPN - ang pagiging kumpidensyal ng ipinadalang data.

Tor sa VPN. Una VPN, pagkatapos Tor

Sa pamamaraang ito, ang VPN server ay isang permanenteng input node, pagkatapos nito ay ipinadala ang naka-encrypt na trapiko sa network ng Tor. Sa pagsasagawa, ang scheme ay simpleng ipatupad: una, kumonekta ka sa VPN server, pagkatapos ay ilunsad ang Tor browser, na awtomatikong i-configure ang kinakailangang pagruruta sa pamamagitan ng VPN tunnel.

Ang paggamit ng gayong pamamaraan ay nagpapahintulot sa iyo na itago ang katotohanan gamit ang Tor mula sa aming Internet provider. Iba-block din kami mula sa Tor entry node, na makikita ang address ng VPN server. At sa kaganapan ng isang teoretikal na kompromiso ng Tor, mapoprotektahan tayo ng linya ng VPN, na, siyempre, ay hindi nag-iimbak ng anumang mga log.
Gamit sa halip VPN proxy server, walang saysay: kung wala ang pag-encrypt na ibinigay ng isang VPN, hindi kami makakatanggap ng anumang makabuluhang pakinabang sa naturang pamamaraan.

Kapansin-pansin na ang mga tagapagbigay ng Internet ay gumawa ng mga tinatawag na tulay na partikular para iwasan ang Tor ban.
Ang mga tulay ay mga node ng Tor network na hindi nakalista sa gitnang direktoryo ng Tor, iyon ay, hindi nakikita, halimbawa, o, at, samakatuwid, mas mahirap matukoy.
Paano i-configure ang mga tulay ay nakasulat nang detalyado.
Ang Tor site mismo ay maaaring magbigay sa amin ng ilang mga tulay sa .
Maaari ka ring makakuha ng mga bridge address sa pamamagitan ng koreo sa pamamagitan ng pagpapadala sa: [email protected] o [email protected] sulat na may text na: “get bridges”. Siguraduhing ipadala ang liham na ito mula sa mail mula sa gmail.com o yahoo.com
Bilang tugon, makakatanggap kami ng liham kasama ang kanilang mga address:
« Narito ang iyong mga bridge relay:
tulay 60.16.182.53:9001
tulay 87.237.118.139:444
tulay 60.63.97.221:443»
Ang mga address na ito ay kailangang tukuyin sa mga setting ng Vidalia, ang Tor proxy server.
Minsan nangyayari na ang mga tulay ay naharang. Upang lampasan ito, ipinakilala ni Tor ang tinatawag na "obfuscated bridges". Nang walang pag-detalye, mas mahirap silang matukoy. Upang kumonekta sa kanila, kailangan mo, halimbawa, upang i-download ang Pluggable Transports Tor Browser Bundle.

Pros mga scheme:

  • itatago namin ang mismong katotohanan ng paggamit ng Tor mula sa Internet provider (o kumonekta sa Tor kung hinarangan ito ng provider). Gayunpaman, may mga espesyal na tulay para dito;
  • itatago namin ang aming IP address mula sa Tor entry node, papalitan ito ng address ng VPN server, ngunit hindi ito ang pinaka-epektibong pagtaas ng anonymity;
  • sa kaganapan ng isang teoretikal na kompromiso ng Tor, mananatili kami sa likod ng VPN server.

Cons mga scheme:

  • dapat tayong magtiwala sa VPN server sa kawalan ng anumang makabuluhang bentahe ng diskarteng ito.
VPN sa pamamagitan ng Tor. Una Tor, pagkatapos ay VPN

Sa kasong ito, ang VPN server ay isang permanenteng outlet sa Internet.


Ang isang katulad na scheme ng koneksyon ay maaaring gamitin upang i-bypass ang Tor node blocking panlabas na mapagkukunan, at dapat nitong protektahan ang aming trapiko mula sa pag-eavesdrop sa Tor exit node.
Mayroong maraming mga teknikal na paghihirap sa pagtatatag ng gayong koneksyon, halimbawa, naaalala mo ba na ang Tor chain ay ina-update bawat 10 minuto o na ang Tor ay hindi pinapayagan ang UDP na pumasa? Ang pinaka-mabubuhay na opsyon praktikal na pagpapatupad ito ang paggamit ng dalawang virtual machine (higit pa dito sa ibaba).
Mahalaga rin na tandaan na ang anumang exit node ay madaling i-highlight ang kliyente sa pangkalahatang daloy, dahil karamihan sa mga gumagamit ay pumupunta sa iba't ibang mga mapagkukunan, at kapag gumagamit ng isang katulad na pamamaraan, ang kliyente ay palaging pumupunta sa parehong VPN server.
Naturally, ang paggamit ng mga regular na proxy server pagkatapos ng Tor ay walang gaanong kahulugan, dahil ang trapiko sa proxy ay hindi naka-encrypt.

Pros mga scheme:

  • proteksyon laban sa pag-eavesdrop sa trapiko sa Tor exit node, gayunpaman, ang mga developer ng Tor mismo ay nagrerekomenda ng paggamit ng pag-encrypt sa antas ng application, halimbawa, https;
  • proteksyon ng pagharang Mga address ng Tor panlabas na mapagkukunan.

Cons mga scheme:

  • kumplikadong pagpapatupad ng scheme;
  • dapat tayong magtiwala sa exit VPN server.
Konsepto ng Whonix

Mayroong maraming mga pamamahagi ng OS na ang pangunahing layunin ay upang magbigay ng anonymity at proteksyon para sa kliyente sa Internet, halimbawa, Tails at Liberte at iba pa. Gayunpaman, ang pinaka-technologically advanced, patuloy na pagbuo at mabisang solusyon, ang pagpapatupad ng pinaka-advanced na mga diskarte para sa pagtiyak ng seguridad at hindi nagpapakilala, ay ang OS distribution kit.
Ang pamamahagi ay binubuo ng dalawang Debian virtual machine sa VirtualBox, isa sa mga ito ay isang gateway na nagpapadala ng lahat ng trapiko sa Tor network, at ang isa ay isang nakahiwalay na workstation na kumokonekta lamang sa gateway. Ang Whonix ay nagpapatupad ng tinatawag na mekanismo ng isolation proxy server. Mayroon ding opsyon na pisikal na paghiwalayin ang gateway at workstation.

Dahil hindi alam ng workstation ang panlabas na IP address nito sa Internet, pinapayagan ka nitong i-neutralize ang maraming mga kahinaan, halimbawa, kung ang malware ay nakakuha ng root access sa workstation, hindi ito magkakaroon ng pagkakataong malaman ang totoong IP address. Narito ang isang diagram ng operasyon ni Whonix, na kinuha mula sa opisyal na website nito.


Ang Whonix OS, ayon sa mga developer, ay matagumpay na naipasa ang lahat ng posibleng mga pagsubok sa pagtagas. Kahit na ang mga application tulad ng Skype, BitTorrent, Flash, Java, na kilala sa kanilang mga tampok, pag-access bukas na internet Ang pag-bypass sa Tor ay matagumpay ding nasubok para sa kawalan ng pag-de-anonymize ng mga pagtagas ng data.
Ang Whonix OS ay nagpapatupad ng maraming kapaki-pakinabang na mekanismo ng anonymity, ituturo ko ang pinakamahalaga:

  • lahat ng trapiko ng anumang mga application ay dumadaan sa network ng Tor;
  • Upang maprotektahan laban sa pag-profile ng trapiko, ipinapatupad ng Whonix OS ang konsepto ng paghihiwalay ng thread. Ang Whonix pre-installed na mga application ay naka-configure na gumamit ng hiwalay na Socks port, at dahil ang bawat Socks port ay gumagamit ng hiwalay na chain ng mga node sa Tor network, imposible ang pag-profile;
  • secure na pagho-host ng Tor Hidden services ay ibinigay. Kahit na na-hack ng isang attacker ang web server, hindi niya magagawang nakawin ang pribadong key ng serbisyong "Nakatagong", dahil naka-store ang key sa Whonix gateway;
  • Ang Whonix ay protektado mula sa mga pagtagas ng DNS dahil gumagamit ito ng isang nakahiwalay na prinsipyo ng proxy sa arkitektura nito. Ang lahat ng mga kahilingan sa DNS ay na-redirect sa DnsPort ng Tor;
  • Sinusuportahan ni Whonix ang mga obfuscated bridges na tinalakay kanina;
  • Ang teknolohiyang "Protocol-Leak-Protection at Fingerprinting-Protection" ay ginagamit. Binabawasan nito ang panganib ng pagkakakilanlan ng kliyente sa pamamagitan ng paglikha ng digital fingerprint ng browser o system sa pamamagitan ng paggamit ng mga pinakakaraniwang ginagamit na value, halimbawa, username – “user”, time zone – UTC, atbp.;
  • posibleng mag-tunnel ng iba mga hindi kilalang network: Freenet, I2P, JAP, Retroshare sa pamamagitan ng Tor, o direktang makipagtulungan sa bawat naturang network. Ang mas detalyadong impormasyon tungkol sa mga tampok ng naturang mga koneksyon ay matatagpuan sa link;
  • Mahalagang tandaan na sinubukan ni Whonix, naidokumento at, higit sa lahat, gumagana (!) lahat ng mga scheme para sa pagsasama ng VPN/SSH/Proxy sa Tor. Ang mas detalyadong impormasyon tungkol dito ay maaaring makuha mula sa link;
  • Whonix OS ay ganap bukas na proyekto, gamit ang libreng software.

Gayunpaman, nararapat na tandaan na ang Whonix OS ay mayroon ding mga kawalan nito:

  • mas kumplikadong setup kaysa sa Tails o Liberte;
  • dalawang kinakailangan mga virtual machine o hiwalay na pisikal na kagamitan;
  • nangangailangan ng mas mataas na pansin sa pagpapanatili. Kailangan mong subaybayan ang tatlong operating system sa halip na isa, mag-imbak ng mga password, at i-update ang operating system;
  • Sa Whonix, hindi gumagana ang button na "Bagong Pagkakakilanlan" sa Tor. Ang katotohanan ay ang Tor browser at Tor mismo ay ihiwalay ng iba't ibang mga kotse Samakatuwid, ang button na "Bagong Pagkakakilanlan" ay walang access sa mga kontrol ng Tor. Upang gumamit ng bagong node chain, kailangan mong isara ang browser, baguhin ang chain gamit ang Arm, ang Tor control panel, ang analogue ni Vidalia Tor Browser, at ilunsad muli ang browser.

Ang proyektong Whonix ay umuunlad nang hiwalay mula sa Proyekto ng Tor at iba pang mga application na kasama sa komposisyon nito, samakatuwid ang Whonix ay hindi magpoprotekta laban sa mga kahinaan sa Tor network mismo o, halimbawa, 0-araw na mga kahinaan sa firewall,Iptables.

Ang seguridad ng operasyon ni Whonix ay maaaring buod sa isang quote mula sa wiki nito: " At hindi, hindi inaangkin ni Whonix na nagpoprotekta siya mula sa napakalakas na mga kalaban, isang ganap na secure na sistema, upang magbigay ng malakas na anonymity, o magbigay ng proteksyon mula sa tatlong-titik na ahensya o pagsubaybay ng gobyerno at tulad nito.».
Kung hinahanap ka ng mga departamento ng "tatlong letra", mahahanap ka nila :)

Ang isyu ng pagkakaibigan sa pagitan ng Tor at VPN ay kontrobersyal. Ang mga hindi pagkakaunawaan sa mga forum sa paksang ito ay hindi humupa. Ibibigay ko ang ilan sa mga pinaka-kawili-wili sa kanila:

  1. seksyon tungkol sa Tor at VPN na may opisyal na pahina Proyekto ng Tor;
  2. seksyon ng forum ng pamamahagi ng Tails sa isyu ng VPN/Tor sa mga opinyon ng mga developer ng Tails. Ang forum mismo ay sarado na ngayon, ngunit ang Google ay nag-save ng cache ng mga talakayan;
  3. seksyon ng forum ng pamamahagi ng Liberte sa isyu ng VPN/Tor sa mga opinyon ng mga developer ng Liberte.

Kung sinimulan mong basahin ang artikulong ito, malamang na wala kang tanong tungkol sa kung bakit gumagamit ng VPN at Tor. Ang bawat isa sa mga teknolohiyang ito ay may kakayahang magbigay ng isang katanggap-tanggap na antas ng privacy, na hindi bababa sa itinatago ang iyong IP address at trapiko mula sa nanunuya ng mata. Gayunpaman, ang parehong VPN at Tor, bilang karagdagan sa isang bilang ng mga halatang pakinabang, ay may mga kawalan, ang pagsasamantala na maaaring magbunyag ng iyong tunay na pagkakakilanlan.

Mga kinakailangan para sa paggamit ng Tor at VPN sa parehong oras

Kasama sa mga pangunahing problema ang sentralisasyon ng karamihan sa mga solusyon sa VPN. Kontrolin VPN network ay nasa kamay ng may-ari nito; kapag gumagamit ng VPN, dapat mong lubos na maunawaan ang patakaran ng serbisyo sa larangan ng paghahayag ng data at pag-iimbak ng log, at maingat na basahin ang kasunduan sa serbisyo.

Isang halimbawa mula sa totoong buhay: noong 2011, inaresto ng FBI ang hacker na si Cody Kretsinger, na gumamit ng kilalang serbisyo ng British na HideMyAss para i-hack ang Sony. Ang mga sulat ng hacker sa IRC ay nahulog sa mga kamay ng fed, kahit na ang serbisyo ay nasa sarili nitong kasunduan sa lisensya nagsasaad na nangongolekta lamang sila ng mga pangkalahatang istatistika at hindi nagtatala ng mga IP address ng customer o ng kanilang trapiko.

Tila ang network ng Tor, bilang isang mas maaasahan at desentralisadong solusyon, ay dapat makatulong na maiwasan ang mga ganitong sitwasyon, ngunit kahit dito ito ay hindi walang mga pitfalls. Ang problema ay ang sinuman ay maaaring magpatakbo ng kanilang sariling Tor exit node. Ang trapiko ng user ay dumadaan sa naturang node sa hindi naka-encrypt na anyo, na nagpapahintulot sa may-ari ng output node na abusuhin ang kanyang posisyon at pag-aralan ang bahaging iyon ng trapiko na dumadaan sa mga node na nasa ilalim ng kanyang kontrol.

Ang mga ito ay hindi lamang mga teoretikal na kalkulasyon; noong 2016, ang mga siyentipiko mula sa Northeastern University ay nag-publish ng isang pag-aaral kung saan sa loob lamang ng 72 oras ay nakakita sila ng 110 malisyosong exit node na nag-espiya sa mga user ng isang hindi kilalang network. Lohikal na ipagpalagay na mayroon talagang mas maraming ganoong mga node, at dahil sa kabuuang maliit na bilang ng mga node (mga 7,000 lamang noong Hunyo 2017), walang pumipigil sa mga nauugnay na organisasyon na suriin ang isang makabuluhang bahagi ng trapiko ng Tor.

Nagdulot din ng maraming ingay ang kamakailang kuwento ng pagsasamantala para sa Firefox browser na ginamit ng FBI para sa de-anonymization. Mga gumagamit ng Tor. At kahit na ang mga developer ay aktibong nagtatrabaho upang alisin mga katulad na problema, hindi ka makatitiyak na walang mga kahinaan na hindi alam ng pangkalahatang publiko.

Sa kabila ng katotohanan na nag-aalok ang Tor ng isang mas mataas na antas ng hindi nagpapakilala kaysa sa VPN, kailangan mong bayaran ito sa bilis ng koneksyon, ang kawalan ng kakayahang gumamit ng mga p2p network (Torrent, Gnutella) at mga problema sa pag-access sa ilang mga mapagkukunan sa Internet, dahil madalas na hinaharangan ng mga admin ang isang saklaw. ng mga Tor IP address.

Ang magandang balita ay ang parehong mga teknolohiya ay maaaring gamitin nang magkasama upang pagaanin ang mga disadvantages ng bawat isa at magdagdag karagdagang antas seguridad, siyempre kailangan mong magbayad para dito malaking pagbaba bilis. Mahalagang maunawaan na mayroong dalawang pagpipilian para sa pagkonekta ng VPN at Tor ay tatalakayin natin nang detalyado ang mga pakinabang at kawalan ng bawat isa.

Sa pagsasaayos na ito, kumonekta ka muna sa VPN server, at pagkatapos ay gamitin ang Tor network sa koneksyon ng VPN.

Nagreresulta ito sa sumusunod na kadena:


Ang iyong device -> VPN -> Tor -> Internet


Ganito talaga ang mangyayari kapag tumakbo ka Tor browser o secure na Whonix OS (para sa higit na seguridad) sa isang system na may VPN na nakakonekta na. Sa kasong ito, malinaw na ang iyong panlabas na IP ay kabilang sa hanay ng network ng Tor.

Mga Bentahe ng Tor sa VPN:

  • Hindi malalaman ng iyong ISP na gumagamit ka ng Tor (ngunit makikita mo na nakakonekta ka sa isang VPN), na makakatulong na maiwasan ang pag-atake ng timing sa ilang sitwasyon (tingnan sa ibaba).
  • Ang isang papasok na Tor node ay hindi malalaman ang iyong tunay na IP address sa halip, makikita nito ang address ng iyong VPN server. Ito ay isang karagdagang antas ng proteksyon (sa kondisyon na gumagamit ka ng isang hindi kilalang VPN na hindi nagpapanatili ng mga log).
  • Access sa hindi kilalang mga serbisyo Tor network (domain.onion).
Mga disadvantages ng Tor sa VPN:
  • Alam ng iyong VPN provider ang iyong tunay na IP address.
  • Walang proteksyon laban sa malisyosong Tor exit node, at ang hindi naka-encrypt na trapiko ay maaaring ma-intercept at masuri.
  • Ang mga tor exit node ay madalas na naka-block sa IP.
Mahalagang tandaan na upang itago ang katotohanan ng paggamit ng Tor mula sa mga mata ng provider, maaari mong gamitin hindi lamang ang isang VPN, kundi pati na rin ang Obfsproxy.

Ang pagsasaayos na ito ay nagsasangkot ng unang pagkonekta sa TOR network, at pagkatapos ay paggamit ng VPN sa Tor upang ma-access ang network.

Ganito ang hitsura ng chain ng koneksyon:

Ang iyong device -> VPN-> Tor -> VPN -> Internet


Mga Bentahe ng VPN sa Tor:
  • Dahil kumonekta ka sa VPN server sa pamamagitan ng Tor, hindi malalaman ng VPN provider ang iyong totoong IP address, nakikita lamang nito ang address ng exit node ng Tor network. Lubos naming inirerekumenda ang paggamit ng hindi kilalang paraan ng pagbabayad (halimbawa, ang mga bitcoin ay dumaan sa isang mixer) at Tor upang ma-access ang website ng VPN provider kapag bumili ng isang VPN subscription.
  • Proteksyon mula sa malisyosong Tor node, dahil ang data ay karagdagang naka-encrypt gamit ang VPN.
  • Pag-access sa mga site na humaharang sa mga koneksyon mula sa Tor
  • Kakayahang pumili ng lokasyon ng server
  • Ang lahat ng trapiko ay idinadaan sa Tor
Mga kapintasan
  • Nakikita ng serbisyo ng VPN ang iyong trapiko, kahit na hindi ito maiugnay sa iyo
  • Nakikita ng iyong ISP na ang trapiko ay idinidirekta patungo sa isa sa mga Tor node. Ito ay bahagyang pinapataas ang panganib ng isang timing na pag-atake.

Upang mag-set up ng VPN sa pamamagitan ng Tor, maaari kang pumunta sa dalawang paraan:

  • Gumamit ng karaniwang Tor browser. Ang kawalan ng diskarteng ito ay kailangan mong patakbuhin at panatilihing palaging naka-on ang Tor browser kapag nagtatrabaho sa isang VPN.
  • I-install ang Tor Expert Bundle bilang isang serbisyo ng Windows. Ang setup na ito ay medyo mas kumplikado, ngunit palagi kang magpapatakbo ng Tor sa iyong computer at hindi na kailangang ilunsad ang Tor browser bago kumonekta sa VPN

Pag-set up ng VPN sa Tor gamit ang Tor Browser.

1. Ilunsad ang Tor browser, pumunta sa menu ng mga setting (Mga Opsyon), pagkatapos Advanced -> Network -> Mga Setting. Ang window ng mga setting ng proxy ay bubukas sa harap mo. Walang partikular na pangangailangan na baguhin ang anuman dito. Makikita na habang naka-enable ang Tor browser, gumagana ang iyong computer bilang SOCKS v5 proxy at tumatanggap ng mga koneksyon sa port number 9150.

2. Susunod, nananatili itong ipahiwatig sa aming VPN client gumamit ng Tor proxy na tumatakbo sa iyong computer. Sa kaso ng OpenVPN, ginagawa ito sa mga setting ng programa tulad ng sa screenshot. Ang parehong ay maaaring gawin sa OpenVPN configuration file sa pamamagitan ng pagtukoy sa direktiba socks-proxy 127.0.0.1 9050

Pagse-set up ng VPN sa Tor gamit ang Expert Bundle.

Alagaan ang isang maaasahang VPN, subukan ito, at makakakuha ka kumpletong kawalan log file, higit sa 100 server, purong OpenVPN at hindi mga application ng third party. Ang serbisyo ay nakarehistro sa Hong Kong, at lahat ng mga server ay nakarehistro sa mga dummies.

Iwanan ang iyong mga komento at tanong sa ibaba, at sundan kami sa mga social network

Hi sa lahat!

Ngayon napunta tayo sa mas kawili-wiling mga bagay. Sa artikulong ito titingnan natin ang mga opsyon para sa pagsasama ng Tor sa VPN/SSH/Proxy.
For the sake of brevity, sa ibaba ay isusulat ko ang VPN kahit saan, dahil lahat kayo ay mahusay at alam na ang mga kalamangan at kahinaan ng VPN, SSH, Proxy, na pinag-aralan natin kanina at.
Isasaalang-alang namin ang dalawang opsyon sa koneksyon:

  • unang VPN, pagkatapos ay Tor;
  • una Tor, at pagkatapos ay VPN.
Sasabihin ko rin ang tungkol sa pamamahagi ng Whonix OS, na nagpapatupad ng mga pinaka-advanced na mga nagawa sa larangan ng network anonymity, dahil, bukod sa iba pang mga bagay, ang parehong nasuri na mga scheme ay na-configure at nagtatrabaho dito.
Nakaraang mga bahagi dito:
Bahagi 1: .
Bahagi 2: .
Bahagi 3: .

Una, tukuyin natin ang ilang mga postulate:
1. Ang network ng Tor ay nagbibigay ng mataas na antas ng pagiging anonymity ng kliyente, napapailalim sa lahat ng ipinag-uutos na panuntunan para sa paggamit nito. Ito ay isang katotohanan: wala pang tunay na pampublikong pag-atake sa mismong network.
2. Tinitiyak ng isang pinagkakatiwalaang VPN (SSH) server ang pagiging kumpidensyal ng ipinadalang data sa pagitan ng sarili nito at ng kliyente.
Kaya, para sa kaginhawahan, sa artikulong ito ang ibig naming sabihin ay tinitiyak ng Tor ang hindi nagpapakilalang kliyente, at VPN - ang pagiging kumpidensyal ng ipinadalang data.
Tor sa VPN. Una VPN, pagkatapos Tor
Sa pamamaraang ito, ang VPN server ay isang permanenteng input node, pagkatapos nito ay ipinadala ang naka-encrypt na trapiko sa network ng Tor. Sa pagsasagawa, ang scheme ay simpleng ipatupad: una, kumonekta ka sa VPN server, pagkatapos ay ilunsad ang Tor browser, na awtomatikong i-configure ang kinakailangang pagruruta sa pamamagitan ng VPN tunnel.


Ang paggamit ng scheme na ito ay nagpapahintulot sa amin na itago ang mismong katotohanan ng paggamit ng Tor mula sa aming Internet provider. Iba-block din kami mula sa Tor entry node, na makikita ang address ng VPN server. At sa kaganapan ng isang teoretikal na kompromiso ng Tor, mapoprotektahan tayo ng linya ng VPN, na, siyempre, ay hindi nag-iimbak ng anumang mga log.
Ang paggamit ng proxy server sa halip na isang VPN ay walang saysay: kung wala ang pag-encrypt na ibinigay ng VPN, hindi kami makakakuha ng anumang makabuluhang pakinabang sa naturang pamamaraan.

Kapansin-pansin na ang mga tagapagbigay ng Internet ay gumawa ng mga tinatawag na tulay na partikular para iwasan ang Tor ban.
Ang mga tulay ay mga node ng Tor network na hindi nakalista sa gitnang direktoryo ng Tor, iyon ay, hindi nakikita, halimbawa, o, at, samakatuwid, mas mahirap matukoy.
Paano i-configure ang mga tulay ay nakasulat nang detalyado.
Ang Tor site mismo ay maaaring magbigay sa amin ng ilang mga tulay sa .
Maaari ka ring makakuha ng mga bridge address sa pamamagitan ng koreo sa pamamagitan ng pagpapadala sa: [email protected] o [email protected] sulat na may text na: “get bridges”. Siguraduhing ipadala ang liham na ito mula sa mail mula sa gmail.com o yahoo.com
Bilang tugon, makakatanggap kami ng liham kasama ang kanilang mga address:
« Narito ang iyong mga bridge relay:
tulay 60.16.182.53:9001
tulay 87.237.118.139:444
tulay 60.63.97.221:443»
Ang mga address na ito ay kailangang tukuyin sa mga setting ng Vidalia, ang Tor proxy server.
Minsan nangyayari na ang mga tulay ay naharang. Upang lampasan ito, ipinakilala ni Tor ang tinatawag na "obfuscated bridges". Nang walang pag-detalye, mas mahirap silang matukoy. Upang kumonekta sa kanila, kailangan mo, halimbawa, upang i-download ang Pluggable Transports Tor Browser Bundle.

Pros mga scheme:

  • itatago namin ang mismong katotohanan ng paggamit ng Tor mula sa Internet provider (o kumonekta sa Tor kung hinarangan ito ng provider). Gayunpaman, may mga espesyal na tulay para dito;
  • itatago namin ang aming IP address mula sa Tor entry node, papalitan ito ng address ng VPN server, ngunit hindi ito ang pinaka-epektibong pagtaas ng anonymity;
  • sa kaganapan ng isang teoretikal na kompromiso ng Tor, mananatili kami sa likod ng VPN server.
Cons mga scheme:
  • dapat tayong magtiwala sa VPN server sa kawalan ng anumang makabuluhang bentahe ng diskarteng ito.
VPN sa pamamagitan ng Tor. Una Tor, pagkatapos ay VPN
Sa kasong ito, ang VPN server ay isang permanenteng outlet sa Internet.


Ang isang katulad na scheme ng koneksyon ay maaaring gamitin upang i-bypass ang pagharang sa mga Tor node ng mga panlabas na mapagkukunan, at dapat itong protektahan ang aming trapiko mula sa pag-eavesdrop sa Tor exit node.
Mayroong maraming mga teknikal na paghihirap sa pagtatatag ng gayong koneksyon, halimbawa, naaalala mo ba na ang Tor chain ay ina-update bawat 10 minuto o na ang Tor ay hindi pinapayagan ang UDP na pumasa? Ang pinaka-mabubuhay na opsyon para sa praktikal na pagpapatupad ay ang paggamit ng dalawang virtual machine (higit pa dito sa ibaba).
Mahalaga rin na tandaan na ang anumang exit node ay madaling i-highlight ang kliyente sa pangkalahatang daloy, dahil karamihan sa mga gumagamit ay pumupunta sa iba't ibang mga mapagkukunan, at kapag gumagamit ng isang katulad na pamamaraan, ang kliyente ay palaging pumupunta sa parehong VPN server.
Naturally, ang paggamit ng mga regular na proxy server pagkatapos ng Tor ay walang gaanong kahulugan, dahil ang trapiko sa proxy ay hindi naka-encrypt.

Pros mga scheme:

  • proteksyon laban sa pag-eavesdrop sa trapiko sa Tor exit node, gayunpaman, ang mga developer ng Tor mismo ay nagrerekomenda ng paggamit ng pag-encrypt sa antas ng application, halimbawa, https;
  • proteksyon laban sa pagharang sa mga address ng Tor ng mga panlabas na mapagkukunan.
Cons mga scheme:
  • kumplikadong pagpapatupad ng scheme;
  • dapat tayong magtiwala sa exit VPN server.
Konsepto ng Whonix
Mayroong maraming mga pamamahagi ng OS na ang pangunahing layunin ay upang magbigay ng anonymity at proteksyon para sa kliyente sa Internet, halimbawa, Tails at Liberte at iba pa. Gayunpaman, ang pinaka-advanced na teknolohiya, patuloy na nagbabago at epektibong solusyon na nagpapatupad ng mga pinaka-advanced na pamamaraan para sa pagtiyak ng seguridad at hindi pagkakilala ay ang pamamahagi ng OS.
Ang pamamahagi ay binubuo ng dalawang Debian virtual machine sa VirtualBox, isa sa mga ito ay isang gateway na nagpapadala ng lahat ng trapiko sa Tor network, at ang isa ay isang nakahiwalay na workstation na kumokonekta lamang sa gateway. Ang Whonix ay nagpapatupad ng tinatawag na mekanismo ng isolation proxy server. Mayroon ding opsyon na pisikal na paghiwalayin ang gateway at workstation.

Dahil hindi alam ng workstation ang panlabas na IP address nito sa Internet, pinapayagan ka nitong i-neutralize ang maraming mga kahinaan, halimbawa, kung ang malware ay nakakuha ng root access sa workstation, hindi ito magkakaroon ng pagkakataong malaman ang totoong IP address. Narito ang isang diagram ng operasyon ni Whonix, na kinuha mula sa opisyal na website nito.


Ang Whonix OS, ayon sa mga developer, ay matagumpay na naipasa ang lahat ng posibleng mga pagsubok sa pagtagas. Kahit na ang mga application tulad ng Skype, BitTorrent, Flash, Java, na kilala sa kanilang kakayahang ma-access ang bukas na Internet na lumalampas sa Tor, ay matagumpay ding nasubok para sa kawalan ng pag-de-anonymize ng mga pagtagas ng data.
Ang Whonix OS ay nagpapatupad ng maraming kapaki-pakinabang na mekanismo ng anonymity, ituturo ko ang pinakamahalaga:

  • lahat ng trapiko ng anumang mga application ay dumadaan sa network ng Tor;
  • Upang maprotektahan laban sa pag-profile ng trapiko, ipinapatupad ng Whonix OS ang konsepto ng paghihiwalay ng thread. Ang Whonix pre-installed na mga application ay naka-configure na gumamit ng hiwalay na Socks port, at dahil ang bawat Socks port ay gumagamit ng hiwalay na chain ng mga node sa Tor network, imposible ang pag-profile;
  • secure na pagho-host ng Tor Hidden services ay ibinigay. Kahit na na-hack ng isang attacker ang web server, hindi niya magagawang nakawin ang pribadong key ng serbisyong "Nakatagong", dahil naka-store ang key sa Whonix gateway;
  • Ang Whonix ay protektado mula sa mga pagtagas ng DNS dahil gumagamit ito ng isang nakahiwalay na prinsipyo ng proxy sa arkitektura nito. Ang lahat ng mga kahilingan sa DNS ay na-redirect sa DnsPort ng Tor;
  • Sinusuportahan ni Whonix ang mga obfuscated bridges na tinalakay kanina;
  • Ang teknolohiyang "Protocol-Leak-Protection at Fingerprinting-Protection" ay ginagamit. Binabawasan nito ang panganib ng pagkakakilanlan ng kliyente sa pamamagitan ng paglikha ng digital fingerprint ng browser o system sa pamamagitan ng paggamit ng mga pinakakaraniwang ginagamit na value, halimbawa, username – “user”, time zone – UTC, atbp.;
  • posibleng mag-tunnel ng iba pang hindi kilalang network: Freenet, I2P, JAP, Retroshare sa pamamagitan ng Tor, o direktang makipagtulungan sa bawat naturang network. Ang mas detalyadong impormasyon tungkol sa mga tampok ng naturang mga koneksyon ay matatagpuan sa link;
  • Mahalagang tandaan na sinubukan ni Whonix, naidokumento at, higit sa lahat, gumagana (!) lahat ng mga scheme para sa pagsasama ng VPN/SSH/Proxy sa Tor. Ang mas detalyadong impormasyon tungkol dito ay maaaring makuha mula sa link;
  • Ang Whonix OS ay isang ganap na open source na proyekto gamit ang libreng software.
Gayunpaman, nararapat na tandaan na ang Whonix OS ay mayroon ding mga kawalan nito:
  • mas kumplikadong setup kaysa sa Tails o Liberte;
  • dalawang virtual machine o magkahiwalay na pisikal na hardware ang kailangan;
  • nangangailangan ng mas mataas na pansin sa pagpapanatili. Kailangan mong subaybayan ang tatlong operating system sa halip na isa, mag-imbak ng mga password, at i-update ang operating system;
  • Sa Whonix, hindi gumagana ang button na "Bagong Pagkakakilanlan" sa Tor. Ang katotohanan ay ang Tor browser at Tor mismo ay nakahiwalay sa iba't ibang mga makina, samakatuwid, ang "Bagong Pagkakakilanlan" na pindutan ay walang access sa pamamahala ng Tor. Upang gumamit ng bagong node chain, kailangan mong isara ang browser, palitan ang chain gamit ang Arm, ang Tor control panel, ang katumbas ni Vidalia sa Tor Browser, at ilunsad muli ang browser.
Ang proyektong Whonix ay binuo nang hiwalay mula sa proyekto ng Tor at iba pang mga application na bahagi nito, samakatuwid ang Whonix ay hindi magpoprotekta laban sa mga kahinaan sa Tor network mismo o, halimbawa, isang 0-araw na kahinaan sa firewall, Iptables.

Ang seguridad ng Whonix ay maaaring ilarawan

Kaugnay ng mga kaganapang nauugnay sa mga paghihigpit sa pag-access sa Internet, censorship at pag-block ng site, itinuturing kong kinakailangan na ipakita sa iyo ang pagsasalin ng isang paghahambing na artikulo tungkol sa mga serbisyo ng VPN mula sa mapagkukunan ng LifeHacker.

Pribadong Internet Access

Ito ang aming paboritong serbisyo, at kung ihahambing sa bilang ng mga parangal na kanilang nakolekta, sa iyo rin. Nagbibigay ang PIA hindi lamang ng pag-encrypt ng trapiko, kundi pati na rin ng anonymization kasama ng pag-decoupling mula sa rehiyonal na lokasyon. Maaari kang pumili ng isang output server mula sa isang listahan ng halos 1000 piraso (sa 10 iba't ibang bansa). Ang PIA ay hindi nag-iimbak ng mga log, hindi nagbabawal ng anumang mga protocol o IP address, at hindi nag-iimbak ng impormasyon tungkol sa mga aksyon ng user. Sinusuportahan din nila ang ilang paraan ng pagpapahintulot, halos lahat ng operating system (mobile at desktop), at ang halaga ng mga serbisyo ay nagsisimula sa $7 bawat buwan. Maaari kang kumonekta ng hanggang sa limang magkakaibang device.

TorGuard

Nag-aalok ang serbisyo ng isang pagpipilian ng iba't ibang uri ng mga server para sa iba't ibang uri mga aksyon. Mga server na sumusuporta sa torrent protocol - para sa pag-download ng data, mga server na may encryption at anonymity - upang matiyak ang isang ligtas at pribadong pagbisita sa network, atbp. Espesyal na atensyon nakatutok sa isyu ng mga pagtagas ng DNS - nag-aalok pa sila ng sarili nilang pagsubok para sa mga pagsusuri. Gastos ng buo serbisyo ng VPN nagsisimula sa $10/buwan, at kung kailangan mo ng mga dalubhasa, magiging mas mura ang mga ito. Ang serbisyo ay may higit sa 200 outlet sa 18 bansa, walang mga log, at higit pa, inaangkin nila na ang kanilang network ay na-configure sa paraang sila mismo ay walang ideya kung ano ang ginagawa ng kanilang mga user sa ngayon. Sinusuportahan din nila ang halos lahat ng operating system (mobile at desktop), at nag-aalok din sila ng naka-encrypt na serbisyo sa email.

IPVanish VPN

Ang isang kawili-wiling tampok ng serbisyo ay ang paggamit ng mga nakabahaging IP address. Ginagawa nitong talagang mahirap na tukuyin kung sinong mga user ang gumagawa ng kung ano. Bilang karagdagan, ang serbisyo ay may higit sa isang daang output server sa 47 iba't ibang bansa at ang user ay maaaring pumili ng isang output server kung siya, halimbawa, ay nangangailangan tiyak na bansa. Sinusuportahan ng software ang OS X, Windows, Ubuntu, iOS at Android. Bilang karagdagan, ang serbisyo ay nagbibigay ng mga kagamitan sa pagsasaayos kung saan maaari mong i-configure ang iyong router sa bahay upang magtrabaho kasama nito. Ang halaga ng serbisyo ay $10/buwan, at posibleng ikonekta ang dalawa iba't ibang mga aparato kung gumagamit sila ng iba't ibang mga protocol.

CyberGhost VPN

Ang serbisyo ay umiral nang mahabang panahon, at, tulad ng ibang mga kalahok sa rating, sinasabi nitong walang mga log at walang mga paghihigpit sa mga uri ng protocol at trapiko. Nag-aalok ang serbisyo ng isang pagpipilian ng mga output server sa 23 iba't ibang mga bansa. Kapansin-pansin, nagbibigay din ang serbisyo libreng serbisyo, At libreng gumagamit hindi lamang nila magagamit ito nang walang mga paghihigpit sa trapiko, ngunit maaari pa nilang piliin ang bansa ng output server ( malayang pagpili binubuo ng 14 na bansa sa halip na 23, na hindi rin masama). Sinusuportahan ng serbisyo ang halos lahat ng mga operating system.
Ang tanging pagkakaiba sa pagitan ng mga libreng account ay ang mga ito ay hindi pinagana pagkatapos ng 3 oras ng operasyon at maaari lamang gumana sa opisyal na kliyente. Ang halaga ng serbisyo ay nagsisimula sa $7/buwan kung kailangan mong magkonekta ng higit sa isang device, kakailanganin mong magbayad ng dagdag.

Do-It-Yourself

Ang ilang mga tao ay naniniwala na kung ang isang bagay ay kailangang gawin nang tama, ito ay mas mahusay na gawin ito sa iyong sarili; at ang mga sa kanila na may sapat na kaalaman sa IT ay madaling makagawa ng sarili nilang VPN server. Kung hindi mo kailangan ng mga output server sa iba't ibang bansa, maaari mong ayusin ang iyong serbisyo gamit ang gamit ang OpenVPN o iba pang mga opsyon na may open source. Maraming mga router ang sumusuporta sa OpenVPN protocol, habang ang iba ay maaaring mai-install gamit ang custom na DD-WRT o Tomato firmware. Ang pagpipiliang ito ay nagbibigay sa iyo ganap na kontrol sa pag-encrypt, pag-access at iba pang mga isyu sa koneksyon.

Iba pang mga serbisyo

Kasama sa iba pang mga serbisyo ang sumusunod:

Hideman VPN – cross-platform, walang pag-log

Tunnelbear – bukod sa iba pang mga bagay, nag-aalok ng addon ng browser

Ang AirVPN ay marahil ang pinaka-mayaman sa tampok na serbisyo

Ang VyprVPN ay isang mahusay na serbisyo, ngunit pinapanatili nila ang mga tala ng aktibidad ng gumagamit

Ang Mullvad ay isang Swedish provider na tumatanggap ng mga pagbabayad sa Bitcoin para sa higit na hindi pagkakilala. Ang halaga ng mga serbisyo ay 5 euros/buwan, isang pagpipilian ng apat na bansa ang ibinibigay para sa mga output server.

25% Pribadong Internet Access
24% TorGuard
23% IPVanish
19% CyberGhost
09% DIY



MGA KAUGNAY NA ARTIKULO